反覆看了幾遍你的需求應該是這樣
基於某些理由不想讓end user 直接SSLVPN/L2TP/IPsec連B點的firewall
所以在A點做了IPsec/L2TP 跟B點互通後讓end user 走A的防火牆再到B
這問題在一年多前我跟原廠tech support問過類似的他們也是用NAT的方式解決
但當時我是走SSLVPN要到B點的firewall
題外話這問題在台灣挺常見到
我跟老外在做troubleshooting時對方大概都會簡單的講一下理由和需求再講發生的問題
在台灣就像這篇我的問題是這樣要怎麼解 另外L2TP該用capital 不要吝嗇按個shift
想說12tp?? tp stands for???
大部分的人都是樂於分享，但前提是你提供的資訊要夠大家明白你的需求才能幫到
※ 引述《freeunixer (離自相空她相)》之銘言：
: 想請問,
: 兩端已經用 forti 建好一個 siteA <-> siteB 的通道,兩端 lan 可通沒有問題
: 但 fgA 有 l2tp(/ipsec) client 需要經通道進到 fgB 的 lan.
: 已經設定了
: fgA fw rule 允許 l2tp/ipsec 介面(來源)經 sitevpn 介面出去(目的),
: fgB fw rule 允許 fgA 的 VPN client 網段經過 sitevpn 介面進到指定 lan 網段
: 不知還需要設定哪些其它地方?

你認真了XDD不會感謝別人的好意,一昧認為自己對,就讓他自己開心好了也許他已經設定好解答,等著看玩笑罷了?一般用s2s通常會認為兩邊要通,如果不需要通nat也可以啊

這種需求最近WFH開始成為常態以後就變多了

需求講一半,誰知道他要幹嘛?再來幹剿別人都是錯的?我是覺得nat當有問題就很難到來源,log只會看到nat的ip

你真熱心，這種架構都不知做幾個客戶去了，看他回話的語意，我還是把時間花在其它值得的地方

我翻了翻之前的設定 client - sslvpn - siteA - ipsec -Site B 就只有routing & policy 不用NAT

是因為有同時要連兩個 fw 內 lan 的需要

如同前面板友所說，這架構其實早就不知道做幾個客戶去了除了多站點，還有地端到雲端或是反過來都有只有做作過AWS因為VPC的限制，一定要用NAT轉pool IP其他多站點的client VPN 加site to site VPN，要嘛是policy base 用policy把要進VPN的流量設好，不然就是route based 用route(大多是static route)設定就好